Софт для обработки syslog и snmp trapов

[X-RaY™]

Кто как работает с syslog и snmp trap которые собирает со свитчей доступа? Что бы знать про срабатывания портсекьюрити, попытки левых включений и прочие интересности ? Что то с ходу ничего прикольного нинашел, или платное или монстр как забикс. Может проглядел чего ?

[terrible]

Самописный биллинг :)

собирает, фильтрует, считает, знает, что и в каких сообщениях заменить, уведомляет об определённых событиях в ЛС или SMS и т.д.

[s.lobanov]

Кто как работает с syslog и snmp trap которые собирает со свитчей доступа? Что бы знать про срабатывания портсекьюрити, попытки левых включений и прочие интересности ? Что то с ходу ничего прикольного нинашел, или платное или монстр как забикс. Может проглядел чего ?

Если монстры не нравятся, то делайте это сами: syslog пишите в базу с помощью syslog-ng(версия 3 это умеет). Из базы, как понимаете можно выгрести всё что угодно и сразу в виде готового отчёта, трапы тоже можно писать в базу, для этого надо прикрутить скрипт к snmptrapd.

[Ilya Evseev]

Штатный syslog, tail -F, fgrep, mail.

Иногда вместо grep используется фильтр на Perl. Например, чтобы обнаруживать одновременное гашение нескольких портов.

[s.lobanov]

Штатный syslog, tail -F, fgrep, mail.

Иногда вместо grep используется фильтр на Perl. Например, чтобы обнаруживать одновременное гашение нескольких портов.

Отличное, масштабируемое решение с низким временем доступа к информации. А уж формирование каких-либо отчётов(выборок) просто радостью будет для администратора, сиди да грепай целыми днями!

[photon]

Кто как работает с syslog и snmp trap которые собирает со свичей доступа?

http://search.cpan.org/~sparsons/Net-Dev-T...1.0.0/Syslog.pm

http://search.cpan.org/~vinsworld/Net-SNMP...et/SNMPTrapd.pm

 

Аналогичные модули можно найти и для других языков. Готовые решения, как правило, вендор-специфичные и стоят много денег. Яркий пример -- CiscoWorks.

 

Штатный syslog, tail -F, fgrep, mail.

Если ковыряться вручную из командной строки, то да, но в качестве автоматизации это не катит. Лучше самому написать простой listener daemon, который в ответ на те или иные сообщения выполняет управляющие действия и перекидывает пакеты syslog/syslog-ng, сидящему на другом порту. Edited March 23, 2011 by photon

[Max P]

nocproject.org, использую его, валятся трапы и сислоги

[Mallorn]

Для просмотра логов с коммутаторов использую связку debian с rsyslog и LogAnalyser http_://loganalyzer.adiscon.com/

Веб-морда приятна на ощупь, только скин из коробки вырвиглазный, но это небольшая проблема.

При желании через rsyslog кстати можно настроить и получение\отправку с логов с Windows\Linux серверов.

Крайне удобно смотреть логи через веб-морду.

[GFORGX]

noc.x.y.z:~# cat /usr/share/smokeping/cgi-bin/log.sh 
#!/bin/bash

echo "Content-Type: text/html"
echo

addr=`echo $QUERY_STRING | cut -d "=" -f2`

echo "<html>"
echo "<body>"
echo "<table border=1px cellpadding=2 cellspacing=0>"
tac /var/log/remote/$addr.log | head -n 100 | python -ic "import sys; print '\n'.join((i.replace(' ', '</font></td><td><font size=-2>', 3).strip() for i in sys.stdin.readlines()))" | sed s/^/"<tr><td><font size=-2>"/g | sed s/$/"<\/font><\/td><\/tr>"/g 
# | tr "\n" "#" | sed s/#/"<br>"/g
echo "</table>"
echo "</body>"
echo "</html>"

 

За ужасный код не пинать :)

[slepnoga]

slep@nout ~ $ eix sagan

* app-admin/sagan [1]

Available versions: (~)0.1.8-r1 {libdnet +lognorm mysql pcap postgres prelude smtp}

Homepage: http://sagan.softwink.com/

Description: Sagan is a multi-threaded, real time system and event log monitoring system

 

* app-admin/sagan-rules [1]

Available versions: (**)9999 (~)03172011 (~)10212010

Homepage: http://sagan.softwink.com/

Description: Rules for Sagan log analyzer

 

[1] "rion" /home/slep/rion